134280

500.000 Datenbanken ohne Firewalls

14.11.2007 | 11:27 Uhr |

Der Sicherheitsexperte David Litchfield hat das Internet nach ungeschützten Datenbanken durchwühlt. Seine alarmierende Entdeckung: Fast 500.000 Datenbanken sind nicht durch eine Firewall geschützt. Außerdem fehlen oft die neuesten Patches.

David Litchfield vom Sicherheitsunternehmen NGSSoftware scannte über eine Millionen nach dem Zufallsprinzip ausgewählte IP-Adressen daraufhin, ob man über sie Zugang zu einem Microsoft SQL Server oder einer Oracle Datenbank bekommen könnte. Tatsächlich fand er 157 Microsoft SQL-Server und 53 Oracle-Server, die nicht durch Firewalls vor fremden Blicken versteckt waren. Litchfield rechnete diese Zahlen dann auf die Gesamtzahl aller verfügbaren IP-Adressen hoch und kam auf rund 500.000 Datenbanken, die statistisch gesehen ungeschützt am Netz hängen: Rund 368.000 Microsoft SQL-Server und ungefähr 124.000 Oracle-Maschinen.

Bereits vor zwei Jahren suchte Litchfield nach ungeschützten Datenbanken. Damals kam er auf zirka 210.000 Microsoft-SQL-Datenbanken und 140.000 Oracle-Datenbanken, die ohne Firewall zugänglich waren. Kurioserweise hängen 2007 also weniger Oracle-Datenbanken ungeschützt am Netz als 2005, während sich die Zahl der ungeschützten Microsoft-SQL-Datenbanken erhöht hat . Litchfield vermutet, dass das die unterschiedliche Entwicklung von Microsoft und Oracle daran liegt, dass sich die Microsoft SQL-Datenbanken einfach leichter installieren lassen.

2005 hatte Litchfield auch ungeschützte MySQL-Datenbanken untersucht. Und fand tatsächlich noch mehr ungesicherte MySQL-Datenbanken als Microsoft SQL-Datenbanken. 2007 wurde die beliebte Open-Source-Datenbank jedoch nicht von Litchfields Untersuchung erfasst.

Das Fehlen von Firewalls war aber nicht das einzige Problem, auf das der Sicherheitsspezialist stieß. Denn obendrein fehlten bei viele Datenbanken auch noch die neuesten Patches. So waren immer noch vier Prozent der Microsoft SQL-Server-Datenbanken anfällig für den 2003 entdeckten SQL-Slammer-Wurm.

82 Prozent der erfassten SQL-Server liefen mit SQL-Server 2000. Bei weniger als 50 Prozent dieser Oldies war das neueste Service Pack installiert. Bei den Oracle-Datenbanken waren in 13 Prozent noch alte Versionen im Einsatz, für die es keine neuen Patches mehr gibt.

0 Kommentare zu diesem Artikel
134280